网络安全应急预案(申请许可证必备资料)

《网络安全应急预案(申请许可证必备资料)》由会员分享，可在线阅读，更多相关《网络安全应急预案(申请许可证必备资料)（9页珍藏版）》请在装配图网上搜索。

1、某某科技有限公司网络安全应急预案为切实做好网络安全的防范和应急处理工作，进一步提高预防和控制网络安 全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保我司网络与 信息安全，根据中华人民共和国电信条例及互联网网络安全应急预案、 某某省互联网网络安全应急预案、中华人民共和国计算机突发事件应急预 案、中华人民共和国计算机信息系统安全保护条例、计算机病毒防治管 理办法、计算机信息网络国际联网管理暂行规定、国家信息化领导小组 关于加强网络与信息安全保障工作的意见及我司相关管理规定等，制定某某 科技有限公司网络安全应急预案（以下简称预案）。一、指导思想认真落实“教育在先，预防为主，积极处置”的工

2、作原则，牢固树立安 全意识，提高防范和救护能力，以维护正常的工作秩序和营造绿色健康的网络环 境为中心，进一步完善网络管理机制，提高突发事件的应急处置能力。二、组织领导及职责成立网络安全应急办公室领导小组：组长：某某某成员：某某某（电话：123456789 ）某某某（电话：123456789 ）主要职责：负责召集领导小组会议，部署工作，安排、检查落实网络安全 重大事宜，负责网络安全应急预案的落实情况，处理突发事故，完成公司领导交 办的各项任务。三、网络安全应急工作小组：1. 负责人：某某某2. 安全技术人员：某某某（电话：123456789 ）某某某（电话：123456789 ）四、应急措施及要

3、求1. 公司各部门要加强对本部门人员进行及时、全面地教育和引导，提高安全 防范意识。2. 网站配备信息审核员和安全管理人员，严格执行有关计算机网络安全管理 制度，规范办公室、计算机机房等上网场所的管理，落实上网电脑专人专用和日 志留存。3. 重要信息所要建立健全重要数据及时备份和灾难性数据恢复机制。4. 采取多层次的有害信息、恶意攻击防范与处理措施。各处室信息员为第一 层防线，发现有害信息保留原始数据后及时删除；信息所为第二层防线，负责对 所有信息进行监视及信息审核，发现有害信息及时处理。5. 切实做好网络设备的防火、防盗、防雷和防信号非法接入。6. 所有涉密计算机一律不许接入国际互联网，做到

4、专网、专机、专人、专用， 做好物理隔离。连接国际互联网的计算机绝对不能存储涉及国家秘密、工作秘密、 商业秘密的文件。五、预警响应5.1建立网络安全紧急事件预警机制由网络安全应急工作小组负责具体监控和处理，主要是应对公司互联网业务以及 局域网内可能出现的非法信息的传播。5.2预警分级网络安全预警分为三个等级，即：1级警告、II级警告、III级警告。5.2.1 I级警告包括下列情况：公司局域网提供有信息交互能力的服务出现非法信息，但尚未在公司和社会造成 广泛影响的；公司互联网业务中出现少量非法信息，经查非法信息的确来自公司 IP地址机器，但未造成严重影响的；公司互联网业务中客户邮箱出现大量非法 宣

5、传邮件，但未造成严重影响的。5.2.2 II级警告包括下列情况：公司互联网业务与局域网提供有信息交互能力的服务出现非法信息，在公司内、 外造成了一定影响，但未造成实质性危害的；公司互联网业务出现非法信息，经 查非法信息确来自公司IP地址机器，在社会上造成一定影响但未造成实质性危 害的；利用公司网络散布信息，煽动危害国家和社会的行动，尚未造成实质性危 害的。5.2.3 I级警告包括下列情况：公司互联网业务中出现非法信息，经查非法信息确来自公司IP地址机器，在社 会上造成实质性危害的，或利用公司网络组织危害国家和社会的行动；公司互联 网业务中客户邮箱出现大量煽动性宣传邮件，在社会上造成实质性危害的

6、，或者 利用公司网络组织危害国家和社会的行动；公司内网提供有信息交互能力的服务 出现非法信息，在公司内外造成实质性危害或利用公司网络组织危害国家和社会 的行动。5.3预警响应5.3.1预警情况出现后一般处理方法网络安全应急工作小组发现或得到举报后，立即定位有害信息，对有害信息立即 备份留查，然后删除有害信息并立即报告指挥组和有关单位。对于不能立即删除 或服务器大面积甚至全部出现有害信息时，应立即通知服务器管理管理人员立即 停止服务器的网路连接或网络服务，进行隔离，然后管理人员进行善后处理，待 问题解决后恢复网络服务。特殊情况下，网络安全应急工作小组将责成技术人员 进行单机或区域隔离，然后通知服

7、务器管理人员进行善后处理。5.3.2 I级警告响应对公司网络实施动态监控，做好工作日志，加强防范，监视事件的发展动态，争 取主动，控制事件升级。5.3.2 II级警告响应(1) 启动过滤措施，提高网络安全级别；提高各服务器的安全级别与安全级别 设置。(2) 追查非法信息的发布源，及早按照公司有关规定严肃处理；控制非法信息 传播区域。(3) 当发现或接到举报，某用户对于大量接受和发送有害信息邮件的邮件账户， 进行临时关闭，并将用户情况报指挥组。5.3.3 III级警告响应(1) 网络安全应急工作小组组长负责组织实施应急措施，定时向指挥组和有关 部门通告最新情况，并按照有关规定上报上级机关。(2)

8、 根据非法信息的不良影响程度，关闭部分服务器及网络设备，以控制非法 信息的传播途径。(3) 根据需要购置网络安全系统，更新网络安全设备，以提高技术监控能力。(4 )清查非法信息的传播者，并上报公司网络安全应急指挥组及地方相关部门， 按照国家有关法律政策处理。六、紧急事件应急响应6.1建立网络安全紧急事件预警机制由网络安全应急工作小组负责监测、通告和处理。主要应对网络可能会遭受的病 毒、非法攻击影响网络正常工作的事件。6.2网络紧急事件分级网络紧急事件分为三个等级，即I级事件、II级事件、III级事件。6.2.1 I级事件包括下列情况：(1) 由于病毒攻击、非法入侵等原因，内网部分计算机出现网络

9、瘫痪，或者FPT 及部分网站服务器不能响应用户请求。(2) 主机由于病毒攻击或非法入侵，不能正常工作。6.2.2 II级事件包括下列情况：由于病毒攻击、非法入侵等原因，部分计算机出现网络瘫痪，或者邮件、WEB服 务器不能正常工作。6.2.3 I级事件包括下列情况：(1 )由于病毒攻击、非法入侵等原因，网络整体瘫痪，或者机房全部DNS、主WEB 服务器不能正常工作。(2) 由于病毒攻击、非法入侵、人为破坏或不可抗力等原因，造成网络出口中 断。6.3事件响应6.3.1 I级事件响应针对公司互联网业务发生的网络安全事件，诸如内部病毒泛滥、恶意攻击、服务 器及网络设备的运行状况不佳等，及时公布检查办法

10、、补丁下载，做好重要信息 备份。同时做好技术防范，避免损失。6.3.2 II级事件响应(1) 对于病毒传播，病毒性恶意攻击，在网络上公布病毒攻击的情况、病毒特 征以及相应的处理办法和工具。同时要求相关用户进行病毒清除工作，对于置之 不理的用户，将关闭其网络连接，孤立病毒或攻击，将危害减少到最小。(2) 启动过滤措施，提高网络安全级别。更改防火墙的安全设置，提高各服务 器的安全级别设置，增强安全过滤级别。对于来自公司网络外的攻击，首先确定攻击源地址，在出口防火墙上过滤该攻击 源，并请求ISP提供商进行技术支援，联合监控和过滤该攻击；对来自公司网络 内的攻击，确定攻击源，进行个体隔离，如果不能进行

11、个体隔离，将实行区域隔 离，直至大面积关闭相关网络。对于大量接收和发送垃圾邮件、病毒邮件的邮件 账户，进行临时关闭，防止导致邮件服务器负荷过重而瘫痪。(3) 通知用户进行个人计算机的病毒清除工作，待系统恢复正常后，再申请开 通。6.3.3 III级事件响应(1) 根据对公司内网运行安全的影响，关闭部分服务器和网络设备，甚至临时 关闭全网进行短暂的休眠疗法。(2) 逐个子网试验性开通，查出导致全网瘫痪的病毒或攻击源。对于来自网络 外的强大攻击，首先确定攻击源地址，在出口防火墙上过滤该攻击源，并请求 ISP提供商进行技术支援，在地区网络中心处进行过滤该攻击，以减低对公司外 部通道的负荷。对来自公司

12、内网的攻击，确定攻击源，进行个体隔离，如果不能进行个体隔离， 将实行区域隔离，直至大面积关闭相关网络。(3) 对于大量接收和发送垃圾邮件、病毒邮件的邮件账户，进行临时关闭，防 止导致邮件服务器负荷过重而瘫痪。通知用户进行个人计算机的病毒和攻击清除 工作，待系统恢复正常后，再申请开通。(4) 为了隔离病毒和恶意入侵攻击，保证公司网络其他区域的正常工作，网络 安全应急工作小组有权关闭部分网络设备或部分相关服务器，待攻击被解决后， 恢复关闭的网络。公司网络内的接入计算机，必须服从网络安全应急工作小组的 领导、工作安排，积极配合网络安全应急工作小组进行工作，排查病毒和恶意攻 击，配合追查恶意攻击者。在

13、服务器系统崩溃时，用备用服务器替换崩溃服务器。在病毒攻击或其他原因造 成网络管理设备处理能力不足或网络设备损坏时，用备用网络设备替换损坏设 备。七、应急启动及中止7.1应急启动程序当公司网络运行及网络安全事件发生时，由相应的安全应急工作小组报公司网络 安全应急处置指挥组、工作办公室，根据安全事件的级别，启动相应的应急措施， 具体启动项目如下：(1) 应急保障启动正式启动应急措施时，应急保障同时启动，网络安全应急工作小组成员要保证人、 财、物的应急需求；必要时由相应的网络安全应急工作小组组长提出物资保障清 单、后勤支持项目清单、必须采购的计算机系统及网络设备清单以及应急工作人 员的合理补助等，报

14、送公司信息安全应急处置指挥组、工作办公室，经公司有关 部门审核通过后，予以实施。(2) 网络安全应急工作小组进入应急状态网络安全应急工作小组进入应急状态后，由组长全面负责应急处理工作；工作小 组成员进入应急状态，全力以赴采取相应处置措施，把损失降至最低。7.2应急中止程序根据公司互联网业务与局域网运行情况及网络安全紧急事件的发展趋势，当该紧 急事件应急处置结束，确认不会对国家安全、社会稳定及公司正常办公造成影响 时，由公司网络安全应急处置指挥组组长签字认可后，正式终止应急措施。八、应急保障8.1内部保障公司针对互联网业务与局域网网络安全紧急事件的发生，应储备必须的有关物 资、设备、人力，避免时

15、间拖延造成不必要的损失。8.2外部支援依据公司互联网业务与局域网及网络安全紧急事件的影响程度，如需上级部门或 其他单位支持时，应寻求外部支援。某某市公安局网络安全监察处(电话： 010-123456789)。九、附则9.1本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应 用和网络安全应急事件发展趋势，及时修订和完善。9.2本预案由总经理工作部/安全质量部编制。9.3本预案的日常工作由总经理工作部负责。9.4本预案自发布之日起实施。附：应急处理措施指南(一) 当人为、病毒破坏或设备损坏的灾害发生时，具体按以下顺序进行：判断 破坏的来源与性质，断开影响安全与稳定的信息网络设备，断

16、开与破坏来源的网 络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信 息，恢复网络相关系统。按照灾害发生的性质分别采用以下方案：1、网站、网页出现非法言论事件紧急处置措施(1) 网站、网页由信息所值班人员负责随时密切监视信息内容。(2) 发现在网上出现内容被篡改或非法信息时，值班人员应立即向本单位网络 安全负责人通报情况；情况紧急的，首先中断服务器网线连接，再按程序报告。(3) 网络安全相关负责人应在接到通知后立即赶到现场，作好必要记录，清理 非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站 网页重新投入使用。(4) 追查非法信息来源，并将有关情况向本

17、单位网络安全应急领导小组汇报。(5) 网络安全应急领导小组召开会议，如认为事态严重，则立即向市政府信息化 办公室和公安部门报警。2、黑客攻击事件紧急处置措施(1) 当发现黑客正在进行攻击时或者已经被攻击时，首先将被攻击的服务器等 设备从网络中隔离出来，保护现场，并将有关情况向本单位网络安全应急领导小 组汇报。(2) 网络安全相关负责人应在接到通知后立即赶到现场，对现场进行分析，并 做好记录，必要时上报主管部门。(3) 恢复与重建被攻击或破坏系统。(4) 网络安全应急领导小组召开会议，如认为事态严重，则立即向市政府信息 化办公室和公安部门报警。3、病毒事件紧急处置措施(1) 当发现有计算机被感染

18、上病毒后，应立即向网络安全负责人报告，将该机从 网络上隔离开来。(2) 网络安全相关负责人员在接到通报后立即赶到现场。(3) 对该设备的硬盘进行数据备份。(4) 启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进 行病毒扫描和清除工作。如果现行反病毒软件无法清除该病毒，应立即向本单位网络安全应急领导小 组报告，并迅速联系有关产品商研究解决。(6) 网络安全应急领导小组开会研究，认为情况严重的，应立即市政府信息化办 公室和公安部门报警。4、软件系统遭破坏性攻击的紧急处置措施(1) 重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位 容灾备份规定的间隔按时进行备份，

19、并将它们保存于安全处。(2) 一旦软件遭到破坏性攻击，应立即向网络安全负责人报告，并将该系统停止 运行。(3) 检查信息系统的日志等资料，确定攻击来源，并将有关情况向本单位网络安 全应急领导小组汇报，再恢复软件系统和数据。(4) 网络安全应急领导小组召开会议，如认为事态严重，则立即市政府信息化办 公室和公安部门报警。5、数据库安全紧急处置措施(1) 对于重要的信息系统，主要数据库系统应按双机设备设置，并至少要准备两 个以上数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物 中。(2) 一旦数据库崩溃，值班人员应立即启动备用系统，并向网络安全负责人报告。(3) 在备用系统运行期间；

20、网络安全工作人员应对主机系统进行维修并作数据恢 复。(4) 如果两套系统均崩溃而无法恢复，应立即向有关厂商请求紧急支援。6、广域网外部线路中断紧急处置措施(1) 广域网线路中断后，值班人员应立即向网络安全负责人报告。(2) 网络安全相关负责人员接到报告后，应迅速判断故障节点，查明故障原 因。(3) 如属我方管辖范围，由网络安全工作人员立即予以恢复。(4) 如属电信部门管辖范围，立即与电信维护部门联系，要求修复。如有必要，向本单位网络安全应急领导小组汇报。7、局域网中断紧急处置措施(1) 设备管理部门平时应准备好网络备用设备，存放在指定的位置。(2) 局域网中断后，网络安全相关负责人员应立即判断

21、故节点，查明故障原 因，并向网络安全组组长汇报。(3) 如属线路故障，应重新安装线路。(4) 如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取 出接上，并调试通畅。(5) 如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测 通畅。(6 )如有必要，向本单位网络安全应急领导小组汇报。8、设备安全紧急处置措施(1) 服务器等关键设备损坏后，值班人员应立即向网络安全负责人报告。(2) 网络安全相关负责人员立即查明原因。(3) 如果能够自行恢复，应立即用备件替换受损部件。(4) 如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维 修。(5) 如果设备一时不能修复，

22、应向本单位网络安全应急领导小组汇报。(二) 当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的 前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与 保存，设备的断电与拆卸、搬迁等。(三) 当发生火灾时，若因用电等原因引起火灾，立即切断电源，拨打119报警， 组织人员开启灭火器进行扑救。(1) 对于初起火灾，现场人员应立即实施扑救工作，使用灭火器具实施灭 火扑救工作；(2) 火势较大时，应立即拨打119火灾报警电话和根据火灾情况启动有关 消防设备，通知有关人员到场灭火；(3) 在保障人员安全的前提下，按上款保护数据及设备。（四）当市电不正常时，采用UPS供电，供电时间视电池容量而定，一般不超过 1小时，若超过此时间，关团服务器等网络设备，等市电供应正常后半小时再重 新启动服务器。（五）其它做好机房及户外网络设备的防盗窃、防雷击、防鼠害等工作。若发生事故， 应立即组织人员自救，并报警。其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体 的情况，做出相应的处理。不能处理的可以请示相关的专业人员。